Outsourcing-Aktivität befindet sich in Europa auf Rekordniveau

Red Hat stellt Cloud- und Outsourcing-Security-Leitfaden zusammen

| Redakteur: Ulrike Ostler

Die sechs zentralen Sicherheitsfragen

Aber auch hier stelle sich die Frage, ob die Sicherheit der bereitgestellten Services gewährleistet sei. Im Hinblick darauf sollten auslagernde Unternehmen nach Red Hat generell die folgenden Best-Practices beachten:

Wer sicher gehen will, muss die richtigen Fragen stellen.
Wer sicher gehen will, muss die richtigen Fragen stellen. (Bild: peshkov/Fotolia.com)

1. Bestandsaufnahme der eigenen IT-Infrastruktur

Vor jedem Outsourcing ist genau zu überprüfen, welche Bereiche der IT an einen externen Dienstleister übergeben werden können. Nur auf Basis einer eingehenden Ist-Analyse können Unternehmen entscheiden, welche ihrer Applikationen für eine Migration in die Cloud in Frage kommen und welche weiterhin im eigenen Rechenzentrum betrieben werden.

In der Regel verbleibt zumindest ein Teil der Applikationen in der internen Infrastruktur, zum einen, weil die Applikationen nicht für den Cloud-Einsatz geeignet sind, und zum anderen, weil aus Compliance- oder datenschutzrechtlichen Gründen ein Einsatz in der Cloud nicht möglich ist. Bei der Bestandsaufnahme sollten auch die eigenen Sicherheitsmaßnahmen genau überprüft werden. Der hier erreichte Status quo muss schon einmal die erste Messlatte für die Security-Maßnahmen des externen Providers sein.

2. Überprüfung der Zertifizierungen des Providers

Auslagernde Unternehmen müssen vom Provider den Nachweis relevanter Zertifizierungen einfordern. Das betrifft zum Beispiel die Einhaltung des Sicherheitsstandards ISO 27001, der Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheits-Management-Systems festlegt, und ISO 27002, in dem sich Empfehlungen für Kontrollmechanismen für die Informationssicherheit finden.

Auch SAS70 (Statement on Auditing Standard 70: Service Organizations) beziehungsweise SSAE16 (Statement on Standards for Attestation Engagements 16) vom American Institute of Certified Public Accountants (AICPA) sind hier zu nennen. Sie haben sich im internationalen Umfeld als Nachweis dafür bewährt, dass Outsourcing-Dienstleister alle Anforderungen hinsichtlich Datensicherheit und Risikomanagement sowie im Hinblick auf die internen Kontrollsysteme erfüllen. Eine vergleichbare Richtlinie gibt es in Deutschland mit dem Standard IDW PS 951, der vom Institut der Wirtschaftsprüfer veröffentlicht wurde.

3. Kontrolle der IT-Security-Lösungen des Providers

Wer die IT im eigenen Haus betreibt, kann in der Regel den Bereich IT-Security sehr gut beurteilen: zum Beispiel im Hinblick auf die konkret implementierten Sicherheitslösungen, regelmäßige Updates oder die Schulungsmaßnahmen für Administratoren. Das alles entfällt zunächst, wenn ein Cloud-Provider die Security-Aufgaben übernimmt.

Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist. Ein richtiger Ansatz ist hingegen die Ausarbeitung eines Kriterienkatalogs, auf dessen Basis die IT-Security des Providers beurteilt wird, und zwar im Hinblick auf die konkreten Sicherheitsstrategien, -konzepte und -lösungen.

Eine umfassende Zusammenstellung von Sicherheitsaspekten, die ein Unternehmen bei der Auswahl eines Providers unbedingt beachten sollte, findet sich beispielsweise im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“. Hier wird unter anderem das Thema Sicherheitsarchitektur von der Rechenzentrumssicherheit über Server-, Netz- und Datensicherheit bis zur Verschlüsselung und zum Schlüsselmanagement detailliert beleuchtet. Auch auf Aspekte wie ID- und Rechtemanagement, Notfall-Management sowie Sicherheitsprüfungen und -nachweise wird eingegangen.

Wichtig ist im Hinblick auf das Thema IT-Security auch, dass Lösungen in diesem Bereich nicht statischen Charakter haben, sondern kontinuierlich und dynamisch weiterentwickelt werden müssen. Die Grundlage für zuverlässige Sicherheitsvorkehrungen bei Providern ist deshalb auch eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die permanente Aktualisierung im Hinblick auf sich ändernde Rahmenbedingungen oder Aufgabenstellungen.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42927016 / Services)